Le Conseil d'Etat valide la sanction infligée à Google début 2019 par la Cnil, l'autorité de protection des données en France, pour violation de la réglementation en vigueur en la matière (RGPD). Cette nouvelle législation change les rapports de force établis, disrupte la façon de penser l'exploitation de la donnée et l'évolution technologique, ainsi que les attentes des clients européens en matière de respect de leurs droits et libertés. En cas de violation, les sanctions prononcées peuvent atteindre 4% des revenus mondiaux de l'organisation, voire beaucoup plus, en cas d'action de groupe en réparation des dommages. Pour autant, enfreindre le RGPD est un risque évitable en 2020. Découvrez dans l'article six principes fondamentaux listés par l'équipe Alcees qui déclinés opérationnellement, vont permettre de prémunir l'entreprise de problèmes de trésorerie en 2020.

Manquements relevés et faits reprochés

L'histoire remonte à janvier 2019. La Cnil condamne Google à payer une amende de 50 millions d'euros pour manquements à ses obligations dans le cadre du RGPD.

Cette condamnation donne suite à la plainte de l’association None Of Your Business et de l’association La Quadrature du Net. Ces dernières reprochaient à Google de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services.

De son côté, la Cnil reprochait à Google d’avoir manqué à deux points du Règlement général sur la protection des données :

  • manque de transparence et défauts d’informations : elle a évalué l’information de l’utilisateur concernant l’utilisation de ses données trop compliquée à accéder par celui-ci; elle a jugé  les informations mises à la disposition de l’utilisateur par Google trop vagues pour que celui-ci comprenne l’ampleur du traitement de ses données ; toujours d’après la Cnil, ces informations étaient récoltées de manière intrusive et excessive sur les différents services proposés par le géant du Web.
  • consentement non-valable : elle a également relevé la non-conformité du consentement de l’utilisateur concernant la personnalisation de la publicité, un consentement passant par une case pré-cochée, une pratique contraire au Règlement.

Par ailleurs, le Conseil d’État relève  que Google n’aurait également pas respecté le RGPD en ne délivrant pas des informations claires aux utilisateurs d’Android, le système d’exploitation mobile de la firme. Par la suite, le géant américain exerce en recours , rejeté en mai 2019.

Décision du Conseil d'État

Un an après le rejet de son recours, Google est finalement sanctionné après validation du Conseil d’État.

Google axait son recours sur des vices de procédures de la CNIL. En effet Google maintenait que la CNIL n’avait pas le pouvoir de les sanctionner, les décisions en cause n’étant pas prises par son établissement irlandais mais par la société Google LLC implantée aux États-Unis. Mais, la politique de guichet unique mise en place n’étant pas applicable, la sanction était bien légitime et même applaudie par le Comité européen de protection des données.

Cette amende établit un nouveau record dans les amendes distribuées par le CNIL, une sanction exemplaire pour un abus de traitement de données personnelles, l’amende la plus élevée sur l’exercice 2019 de la Cnil, la plus grosse sanction en Europe à ce jour.

Violation du RGPD : un risque évitable

La violation du RGPD : un risque évitable en 2020, à condition que les traitement de données personnelles respectent six principes fondamentaux :

Externalisation de la mise en conformité RGPD des traitements

Le RGPD autorise une externalisation de l’exercice du rôle de conseil et de  contrôle de la conformité avec les dispositions du RGPD incarné dans la fonction Data Protection Officer (DPO) ou le Délégué à la Protection des Données (DPD), obligatoire dans certains cas.  Cette fonction succède à celle de Correspondant à la protection des données (CIL) dont la désignation en France était jusqu’alors facultative. Par ailleurs, le DPO assure la documentation de la conformité de l’organisation afin de répondre aux exigences d’accountability.

 

A propos d'Alcees

Alcees est une esn  pure player cybersécurité. Elle propose des solutions-conseils spécialisées notamment en management et protection des données à caractère personnel des utilisateurs.  Ce qui l’amène à intervenir dans des secteurs variés tels que : banques, assurances, opérateurs de santé et d’e-santé, sociétés d’e-commerce, collectivités et entreprises publiques, de taille petite ou grande. 

Alcees accompagne ses clients dans l’exécution de leurs obligations dans le cadre du RGPD.  Il est également possible de réussir leur mise en conformité au RGPD de façon externalisée. Nos solutions de DPO externalisé intègrent toutes les nouveautés à implémenter, tant  au plan organisationnel, que juridique, que technique.

Quels sont les avantages concrets à se faire accompagner par Alcees dans la conformité au RGPD ?

    •  améliorer l’efficacité commerciale autant que l’expérience client
    •  développer de nouvelles pratiques porteuses de sens commun (éthique, sécurité, protection des intérêts du consommateur, respect des droits et des libertés)
    •  offrir des avantages aux entreprises : renforcer la sécurité des données permet d’éviter de limiter les risques de problèmes d’indisponibilité, de confidentialité qui peuvent affecter les délais de livraison des produits ou des services, et plus loin affecter la réputation ou l’image de l’entreprise.

Si vous souhaitez en savoir plus, n’hésitez pas à contacter notre équipe commerciale.

Ces dernières publications pourraient aussi vous intéresser...

Avez-vous une question ?

Une équipe dédiée vous accompagne dans l'atteinte de vos objectifs et leur maintien dans la durée

01 45 46 85 28

information@alcees.com

Retrouvez les conseils pratiques de nos gestionnaires de risques de non-conformité au RGPD ou DPO externes sur Twitter

@NjoyaCarole